Zarządzanie Mikrotik za pomocą SSTP

Podsumowanie
Tunelowanie SSTP kieruje ruch VPN przez HTTPS (port 443), umożliwiając zdalny dostęp do MikroTika nawet za ścisłymi zaporami i proxy. Ten przewodnik pokazuje konfigurację serwera i klienta RouterOS, przykłady NAT, wskazówki bezpieczeństwa i kiedy warto używać SSTP.

Zdalne zarządzanie MikroTik za pomocą SSTP

SSTP (Secure Socket Tunneling Protocol) ukrywa VPN wewnątrz HTTPS.

Działa przez port 443 i miesza się z normalnym ruchem WWW.

Dzięki temu jest idealny, gdy sieci blokują standardowe porty VPN.

Ten wpis to zwięzły, praktyczny przepis SSTP dla MikroTik RouterOS.

Co to jest SSTP?

SSTP tuneluje PPP (Point-to-Point Protocol) wewnątrz sesji TLS/HTTPS.

Używa TLS do szyfrowania i uwierzytelniania.

Z punktu widzenia sieci SSTP jest niemal nieodróżnialny od standardowego HTTPS.

Dzięki temu przechodzi przez firmowe proxy i CGNAT.

Jak działa SSTP — szybki przebieg

1. Klient otwiera połączenie TLS (HTTPS) z serwerem na porcie 443.
2. Serwer potwierdza swój certyfikat TLS.
3. Tworzona jest sesja PPP wewnątrz tunelu TLS.
4. Ruch jest szyfrowany end-to-end (AES-256 przy odpowiedniej konfiguracji).

Proste. Niezawodne. Trudne do zablokowania.

Uwaga: Ponieważ SSTP korzysta z HTTPS, wielu restrykcyjnych sieci go dopuszcza, blokując inne VPN.

Zalety i ograniczenia

Zalety

• Działa prawie wszędzie — również za zaporami i proxy.
• Używa portu 443 (HTTPS), który zazwyczaj jest otwarty.
• Silne szyfrowanie TLS (przy nowoczesnych ustawieniach RouterOS/TLS).
• Wbudowane wsparcie w Windows i RouterOS.
• Elastyczne uwierzytelnianie: login/hasło, certyfikaty lub RADIUS.

Ograniczenia

• Większe zużycie CPU niż lekkie VPN (narzut TLS).
• Wydajność zwykle niższa niż WireGuard.
• Wymaga ważnego certyfikatu SSL dla optymalnej pracy.

Ostrzeżenie: Starsze wersje TLS/SSL są niebezpieczne. Aktualizuj RouterOS i wyłącz przestarzałe protokoły.

Serwer: Konfiguracja SSTP na MikroTik

Poniżej minimalne komendy RouterOS do utworzenia serwera SSTP.

1. Utwórz lub zaimportuj certyfikat

/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes

2. Stwórz profil PPP

/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2

3. Dodaj użytkownika (secret)

/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp

4. Włącz serwer SSTP

/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

Teraz router nasłuchuje na porcie 443 i akceptuje połączenia SSTP.

Wskazówka: Użyj certyfikatu od Let’s Encrypt lub swojej CA — certyfikaty samopodpisane działają w testach, ale powodują ostrzeżenia u klientów.

Klient: Konfiguracja SSTP na zdalnym MikroTik

Na zdalnym urządzeniu dodaj klienta SSTP łączącego się z hubem.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no

/interface sstp-client print

Oczekiwany status:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Uwaga: Linia encoding pokazuje negocjowany szyfr. Nowe wersje RouterOS obsługują silniejsze szyfry — sprawdź notatki do wersji.

Dostęp do hosta wewnętrznego przez tunel

Jeśli chcesz dotrzeć do urządzenia za zdalnym MikroTik (np. 192.168.88.100), użyj dst-nat i mapowania portu.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Z huba lub klienta uzyskaj dostęp do urządzenia przez punkt końcowy tunelu SSTP i zmapowany port:

https://vpn.yourdomain.com:8081

Ruch przepływa przez tunel HTTPS i dociera do hosta wewnętrznego.

Bezpieczeństwo i dobre praktyki

• Używaj ważnych, zaufanych certyfikatów TLS.
• Preferuj uwierzytelnianie certyfikatem lub RADIUS zamiast haseł.
• Ogranicz dozwolone adresy IP źródłowe, gdy to możliwe.
• Aktualizuj RouterOS, aby korzystać z nowoczesnych stosów TLS.
• Wyłącz stare wersje SSL/TLS i słabe szyfry.
• Monitoruj logi połączeń i okresowo zmieniaj dane dostępowe.

Wskazówka: Uwierzytelnianie certyfikatem jest często łatwiejsze i bezpieczniejsze niż wspólne hasła.

Alternatywa: serwer SSTP na VPS

Możesz postawić hub SSTP na VPS zamiast MikroTik.

Opcje:

• Windows Server (wbudowane wsparcie SSTP).
• SoftEther VPN (wieloprotokołowy, obsługuje SSTP na Linux).

SoftEther to wygodne mostkowanie protokołów. Umożliwia MikroTikom i klientom Windows komunikację z tym samym hubem bez publicznych IP na każdej stronie.

Szybkie porównanie

Kiedy wybrać SSTP

Wybierz SSTP, gdy potrzebujesz VPN, który:

• Musi działać przez firmowe proxy lub ścisły NAT.
• Łatwo integruje się z klientami Windows.
• Powinien używać portu 443, by uniknąć blokad portów.

Jeśli cenisz szybkość i niskie zużycie CPU, rozważ WireGuard.

Gdzie pomaga MKController: Jeśli konfiguracja certyfikatów i tuneli jest uciążliwa, NATCloud od MKController zapewnia centralny zdalny dostęp i monitoring — bez manualnego PKI per urządzenie i prostsze wdrożenie.

Podsumowanie

SSTP to praktyczne rozwiązanie dla trudnych sieci.

Wykorzystuje HTTPS, by utrzymać połączenie tam, gdzie inne VPN zawodzą.

Kilka komend RouterOS wystarczy, by skonfigurować niezawodny zdalny dostęp dla oddziałów, serwerów i urządzeń użytkowników.

O MKController

Mamy nadzieję, że powyższe wskazówki pomogły Ci lepiej poruszać się po świecie MikroTik i Internetu! 🚀
Niezależnie czy dopieszczasz konfiguracje, czy próbujesz uporządkować chaos sieciowy, MKController ułatwi Ci życie.

Dzięki scentralizowanemu zarządzaniu w chmurze, automatycznym aktualizacjom zabezpieczeń i intuicyjnemu panelowi, posiadamy wszystko, aby usprawnić Twoją pracę.

👉 Rozpocznij darmowy 3-dniowy okres próbny na mkcontroller.com — i zobacz, jak wygląda łatwa kontrola sieci.